Konfigurace Teams se třemi úrovněmi zabezpečení sdílení souborů
Některé funkce v tomto článku vyžadují Microsoft Syntex – Rozšířená správa SharePointu
Články v této sérii poskytují doporučení pro konfiguraci týmů v Microsoft Teams a jejich přidružených sharepointových webů pro ochranu souborů, která vyrovnává zabezpečení a snadnou spolupráci.
Tento článek definuje čtyři různé konfigurace, počínaje veřejným týmem s nejotevřenějšími zásadami sdílení. Každá další konfigurace představuje smysluplný krok v ochraně, zatímco možnost přístupu k souborům uloženým v rámci týmů a spolupráce na nich je omezena na příslušnou sadu členů týmu.
Konfigurace v tomto článku odpovídají doporučením Microsoftu pro tři úrovně ochrany dat, identit a zařízení:
Základní ochrana
Citlivá ochrana
Vysoce citlivá ochrana
Informace o vytvoření prostředí pro schůzky Teams, které splňuje vaše požadavky na dodržování předpisů, najdete v tématu Konfigurace schůzek Teams se třemi úrovněmi ochrany.
Tři úrovně na první pohled
Následující tabulka shrnuje konfigurace pro jednotlivé úrovně. Použijte tyto konfigurace jako výchozí bod doporučení a upravte konfigurace tak, aby vyhovovaly potřebám vaší organizace. Možná nebudete potřebovat všechny úrovně.
| Směrný plán (veřejný) | Směrný plán (privátní) | Citlivé | Vysoce citlivé | |
|---|---|---|---|---|
| Soukromý nebo veřejný tým | Veřejné | Soukromé | Soukromé | Soukromé |
| Kdo má přístup? | Všichni v organizaci, včetně B2B hostů. | Jenom členové týmu. Ostatní můžou požádat o přístup k přidruženému webu. | Jenom členové týmu. | Jenom členové týmu. |
| Soukromé kanály | Vlastníci a členové můžou vytvářet soukromé kanály. | Vlastníci a členové můžou vytvářet soukromé kanály. | Soukromé kanály můžou vytvářet jenom vlastníci. | Soukromé kanály můžou vytvářet jenom vlastníci. |
| Přístup hostů na úrovni webu | Noví a stávající hosté (výchozí) | Noví a stávající hosté (výchozí) | Noví a stávající hosté nebo Jenom lidé ve vaší organizaci v závislosti na potřebách týmu. | Noví a stávající hosté nebo Jenom lidé ve vaší organizaci v závislosti na potřebách týmu. |
| Podmíněný přístup na úrovni webu | Úplný přístup z desktopových aplikací, mobilních aplikací a webu (výchozí nastavení) | Úplný přístup z desktopových aplikací, mobilních aplikací a webu (výchozí nastavení) | Povolit omezený přístup pouze pro web. | Vlastní zásady podmíněného přístupu |
| Výchozí typ odkazu pro sdílení | Jenom lidé ve vaší organizaci | Jenom lidé ve vaší organizaci | Konkrétní lidé | Lidé s existujícím přístupem |
| Štítky utajení | Žádné | Žádné | Popisek citlivosti používaný ke klasifikaci týmu a řízení sdílení hostů a nespravovaného přístupu k zařízením. | Popisek citlivosti používaný ke klasifikaci týmu, řízení sdílení hostů a určení zásad podmíněného přístupu. Výchozí popisek souboru se u souborů používá k jejich šifrování. |
| Nastavení sdílení webu | Vlastníci a členové webu a lidé s oprávněním k úpravám můžou sdílet soubory a složky, ale web můžou sdílet jenom vlastníci webu. | Vlastníci a členové webu a lidé s oprávněním k úpravám můžou sdílet soubory a složky, ale web můžou sdílet jenom vlastníci webu. | Vlastníci a členové webu a lidé s oprávněním k úpravám můžou sdílet soubory a složky, ale web můžou sdílet jenom vlastníci webu. | Není k dispozici (řídí se zásadami omezeného řízení přístupu na úrovni lokality.) |
| Zásady omezeného řízení přístupu na úrovni webu | Žádné | Žádné | Žádné | Pouze členové týmu |
Základní ochrana zahrnuje veřejné a soukromé týmy. Veřejné týmy může zjistit a získat přístup kdokoli v organizaci. Soukromé týmy můžou zjistit a získat k nimi přístup jenom členové týmu. Obě tyto konfigurace omezují sdílení přidruženého sharepointového webu na vlastníky týmu, kteří pomáhají se správou oprávnění.
Týmy pro citlivou a vysoce citlivou ochranu jsou soukromé týmy, ve kterých je sdílení a vyžádání přístupu pro přidružený web omezené a popisky citlivosti se používají k nastavení zásad sdílení hostů, přístupu zařízení a šifrování obsahu.
Štítky utajení
Citlivé a vysoce citlivé vrstvy používají popisky citlivosti k zabezpečení týmu a jeho souborů. Pokud chcete tyto úrovně implementovat, musíte povolit popisky citlivosti, které chrání obsah v Microsoft Teams, Skupiny Microsoft 365 a na sharepointových webech.
I když základní úroveň nevyžaduje popisky citlivosti, zvažte vytvoření "obecného" popisku a následné vyžadování označení všech týmů. To pomáhá zajistit, aby se uživatelé při vytváření týmu rozhodli o citlivosti. Pokud plánujete nasadit citlivé nebo vysoce citlivé úrovně, doporučujeme vytvořit "obecný" popisek, který můžete použít pro základní týmy a pro soubory, které nejsou citlivé. Pro vysoce citlivou úroveň také určíme výchozí popisek citlivosti pro knihovny dokumentů, aby se v souborech Office a dalších kompatibilních souborech tento popisek automaticky použil při nahrání.
Pokud s používáním popisků citlivosti začínáte, doporučujeme vám přečíst si článek Začínáme s popisky citlivosti .
Pokud jste už popisky citlivosti ve vaší organizaci nasadili, zvažte, jak popisky použité v citlivých a vysoce citlivých vrstvách odpovídají celkové strategii popisků.
Sdílení sharepointového webu
Každý tým má přidružený sharepointový web, na kterém jsou uložené dokumenty. (Toto je karta Soubory v kanálu teams.) Sharepointový web si zachovává vlastní správu oprávnění, ale je propojený s týmovými oprávněními. Vlastníci týmu jsou zahrnuti jako vlastníci webu a členové týmu jsou zahrnuti jako členové webu přidruženého webu.
Výsledná oprávnění umožňují:
- Vlastníci týmu spravují web a mají plnou kontrolu nad obsahem webu.
- Členové týmu pro vytváření a úpravy souborů na webu.
Ve výchozím nastavení můžou vlastníci a členové týmu sdílet samotný web s lidmi mimo tým, aniž by je do týmu skutečně přidávali. Nedoporučujeme to, protože to komplikuje správu uživatelů a může vést k tomu, že uživatelé, kteří nejsou členy týmu, budou mít přístup k týmovým souborům, aniž by si to vlastníci týmu uvědomili. Pokud tomu chcete zabránit, doporučujeme, aby od základní úrovně ochrany mohli web přímo sdílet jenom vlastníci.
I když týmy nemají možnost oprávnění jen pro čtení, sharepointový web ano. Pokud máte zúčastněné strany nebo partnerské skupiny, které potřebují mít možnost zobrazit týmové soubory, ale ne je upravovat, zvažte jejich přidání přímo na sharepointový web s oprávněními k zobrazení.
U vysoce citlivé úrovně omezujeme přístup k webu pouze na členy týmu. Toto omezení také zabraňuje sdílení souborů s lidmi mimo tým.
Sdílení souborů a složek
Ve výchozím nastavení můžou jak vlastníci, tak členové týmu sdílet soubory a složky s lidmi mimo tým. To může zahrnovat osoby mimo vaši organizaci, pokud povolíte sdílení hostů. Ve všech třech úrovních aktualizujeme výchozí typ odkazu pro sdílení, aby se zabránilo náhodnému sdílení. Jak je uvedeno výše, ve vysoce citlivé vrstvě je přístup k souborům omezený pouze na členy týmu.
Sdílení s lidmi mimo vaši organizaci
Pokud potřebujete sdílet obsah Teams s lidmi mimo vaši organizaci, máte dvě možnosti:
- Sdílení hostů – sdílení hostů využívá Microsoft Entra spolupráci B2B, která uživatelům umožňuje sdílet soubory, složky, weby, skupiny a týmy s lidmi mimo vaši organizaci. Tito lidé přistupují ke sdíleným prostředkům pomocí účtů hostů ve vašem adresáři.
- Sdílené kanály – sdílené kanály používají přímé připojení Microsoft Entra B2B, které uživatelům umožňuje sdílet prostředky ve vaší organizaci s lidmi z jiných Microsoft Entra organizací. Tito lidé přistupují ke sdíleným kanálům v Teams pomocí vlastního pracovního nebo školního účtu. Ve vaší organizaci se nevytvořil žádný účet hosta.
Sdílení hostů i sdílené kanály jsou užitečné v závislosti na situaci. Podrobnosti o jednotlivých scénářích a o tom, jak se rozhodnout, které použít pro daný scénář, najdete v tématu Plánování externí spolupráce .
Pokud plánujete používat sdílení hostů, doporučujeme nakonfigurovat integraci SharePointu a OneDrivu s Microsoft Entra B2B, abyste měli co nejlepší možnosti pro sdílení a správu.
Sdílení hostů v Teams můžete v případě potřeby zabránit v citlivých a vysoce citlivých úrovních pomocí popisku citlivosti. Sdílené kanály jsou ve výchozím nastavení zapnuté, ale vyžadují nastavení vztahů mezi organizacemi pro každou organizaci, se kterou chcete spolupracovat. Podrobnosti najdete v tématu Spolupráce s externími účastníky v kanálu .
Ve vysoce citlivé vrstvě nakonfigurujeme výchozí popisek citlivosti knihovny tak, aby šifrovali soubory, na které se použije. Pokud potřebujete, aby k těmto souborům měli přístup hosté, musíte jim při vytváření popisku udělit oprávnění. Externím účastníkům ve sdílených kanálech nelze udělit oprávnění k popiskům citlivosti a nemůžou získat přístup k obsahu šifrovaného popiskem citlivosti.
Pokud potřebujete spolupracovat s lidmi mimo vaši organizaci, důrazně doporučujeme ponechat sdílení hostů na základní úrovni a u citlivých nebo vysoce citlivých úrovní. Funkce sdílení hostů v Microsoftu 365 poskytují mnohem bezpečnější a řízené prostředí pro sdílení než odesílání souborů jako příloh v e-mailových zprávách. Snižuje také riziko stínového IT, kdy uživatelé používají neovlaněné spotřebitelské produkty ke sdílení s legitimními externími spolupracovníky.
Pokud pravidelně spolupracujete s jinými organizacemi, které používají Microsoft Entra ID, mohou být vhodnou volbou sdílené kanály. Sdílené kanály se bezproblémově zobrazují v klientovi Teams jiné organizace a umožňují externím účastníkům používat svůj běžný uživatelský účet pro svoji organizaci, aniž by se museli přihlašovat samostatně pomocí účtu hosta.
Informace o vytvoření zabezpečeného a produktivního prostředí pro sdílení hostů pro vaši organizaci najdete v následujících odkazech:
- Osvědčené postupy pro sdílení souborů a složek s neověřenými uživateli
- Omezení náhodného vystavení souborům při sdílení s lidmi mimo vaši organizaci
- Vytvoření zabezpečeného prostředí pro sdílení hostů
Zásady podmíněného přístupu
Microsoft Entra Podmíněný přístup nabízí řadu možností, jak určit, jak uživatelé přistupují k Microsoftu 365, včetně omezení na základě polohy, rizik, dodržování předpisů zařízením a dalších faktorů. Doporučujeme přečíst si článek Co je podmíněný přístup? a zvážit, které další zásady by mohly být vhodné pro vaši organizaci.
U citlivých a vysoce citlivých úrovní používáme popisky citlivosti k omezení přístupu k obsahu SharePointu.
U citlivé úrovně omezíme přístup pouze k webu pro nespravovaná zařízení. (Upozorňujeme, že hosté často nemají zařízení spravovaná vaší organizací. Pokud povolíte hosta v některé z úrovní, zvažte, jaké druhy zařízení používají pro přístup k týmům a webům, a nastavte odpovídajícím způsobem zásady nespravovaných zařízení.)
U vysoce citlivé úrovně použijeme Microsoft Entra kontext ověřování s popiskem citlivosti k aktivaci vlastních zásad podmíněného přístupu, když uživatelé přistupují k webu SharePointu přidruženému k týmu.
Podmíněný přístup napříč službami souvisejícími s Teams
Nastavení podmíněného přístupu v popiscích citlivosti má vliv jenom na přístup k SharePointu. Pokud chcete podmíněný přístup rozšířit nad rámec SharePointu, můžete místo toho pro všechny uživatele vyžadovat vyhovující zařízení, Microsoft Entra zařízení připojené k hybridnímu připojení nebo vícefaktorové ověřování. Pokud chcete tuto zásadu nakonfigurovat speciálně pro služby Microsoftu 365, vyberte Office 365 cloudovou aplikaci v části Cloudové aplikace nebo akce.
Použití zásad, které se týkají všech služeb Microsoftu 365, může vést k lepšímu zabezpečení a lepšímu prostředí pro vaše uživatele. Když například zablokujete přístup k nespravovaným zařízením jenom na SharePointu, budou mít uživatelé přístup k chatu v týmu s nespravovaným zařízením, ale při pokusu o přístup na kartu Soubory o přístup přijdou. Použití Office 365 cloudové aplikace pomáhá vyhnout se problémům se závislostmi služeb.
Další krok
Začněte konfigurací základní úrovně ochrany. V případě potřeby můžete také přidat citlivou ochranu a vysoce citlivou ochranu .
Související témata
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro